Powrót do strony głównej

Hakerzy maskują system operacyjny jako pliki: nowa taktyka omijania antywirusów

Cyberprzestępcy używają legalnego narzędzia QEMU do uruchamiania ukrytych maszyn wirtualnych, maskując obrazy jako zwykłe pliki. Eksperci Sophos wykryli dwie kampanie, w których ta technika jest stosowana do omijania antywirusów i EDR.

Jak hakerzy chowają całe systemy operacyjne w zwykłych plikach
Advertisement 728x90

Hakerzy maskują całe systemy operacyjne jako zwykłe pliki: nowa taktyka omijania antywirusów

Cyberprzestępcy znaleźli sposób na ukrywanie złośliwej aktywności wewnątrz legalnych narzędzi wirtualizacji. Używając QEMU, atakujący uruchamiają całe systemy operacyjne, które nie są wykrywane przez standardowe środki ochrony. Ta technika jest już stosowana w kilku kampaniach rozprzestrzeniania oprogramowania ransomware.

Jak działa atak z użyciem QEMU

QEMU to popularne oprogramowanie open-source do emulacji i wirtualizacji. W rękach cyberprzestępców staje się potężnym narzędziem do ukrywania śladów. Zamiast uruchamiać złośliwe procesy bezpośrednio na zainfekowanym systemie, hakerzy wdrażają w nim maszynę wirtualną (VM). Wszystkie złośliwe działania są wykonywane wewnątrz tej VM, a na hoście pozostają tylko legalne procesy QEMU.

Obraz dysku wirtualnego jest maskowany jako zwykłe pliki – na przykład bazy danych lub biblioteki DLL. Komunikacja z serwerem dowodzenia odbywa się przez odwrotne tunele SSH, co utrudnia wykrywanie anomalii sieciowych.

Google AdInline article slot

Dwie kampanie: STAC4713 i STAC3725

Eksperci Sophos zidentyfikowali co najmniej dwie oddzielne kampanie wykorzystujące tę technikę.

Kampania STAC4713

W tej kampanii, aktywnej od końca 2025 roku, atakujący wdrażali ukrytą VM poprzez zadanie TPMProfiler uruchomione z uprawnieniami SYSTEM. Wewnątrz VM umieszczono pełen zestaw narzędzi do zdalnego dostępu, kradzieży danych uwierzytelniających i eksfiltracji informacji. Kampania jest powiązana z dystrybucją ransomware PayoutsKing. Analitycy podejrzewają, że stoi za nią grupa GOLD ENCOUNTER, specjalizująca się w atakach na zwirtualizowaną infrastrukturę (VMware, ESXi).

Kampania STAC3725

Rozpoczęta w lutym 2026 roku, ta kampania wykorzystuje lukę CitrixBleed2 w NetScaler. Po włamaniu hakerzy instalują złośliwego klienta ScreenConnect, tworzą lokalnego administratora i uruchamiają QEMU z obrazem Alpine Linux. W przeciwieństwie do pierwszej kampanii, narzędzia do rozpoznania są zbierane już wewnątrz VM: używane są Impacket, BloodHound, Kerbrute, Metasploit i inne.

Google AdInline article slot

Dlaczego to jest niebezpieczne: ukrycie i długotrwały dostęp

Główne zagrożenie takiego podejścia polega na tym, że złośliwa aktywność praktycznie nie pozostawia śladów w systemie głównym. Antywirusy i rozwiązania EDR widzą tylko legalny proces QEMU i nie mogą zajrzeć do wnętrza maszyny wirtualnej. Daje to atakującym długi, ukryty dostęp, ułatwia lateralne przemieszczanie się po sieci i pozwala niezauważenie przygotować atak ransomware.

Jak się bronić: zalecenia ekspertów

Sophos zaleca następujące środki w celu wykrywania takich ataków:

  • Sprawdzanie środowiska pod kątem nieautoryzowanych instalacji QEMU.
  • Monitorowanie podejrzanych zadań działających w kontekście SYSTEM.
  • Wykrywanie niestandardowego przekierowania portów SSH.
  • Zwracanie uwagi na nietypowe pliki dysków wirtualnych.

Co jest ważne

  • Hakerzy używają legalnego narzędzia QEMU do uruchamiania ukrytych maszyn wirtualnych.
  • Obrazy VM są maskowane jako zwykłe pliki (bazy danych, DLL).
  • Ataki pozwalają omijać antywirusy i EDR, pozostając niewykrytymi.
  • Zidentyfikowano dwie kampanie: STAC4713 (PayoutsKing) i STAC3725 (CitrixBleed2).
  • Zaleca się monitorowanie nieautoryzowanych instalacji QEMU i podejrzanych tuneli SSH.

Kontekst i konsekwencje

Wykorzystanie wirtualizacji do ukrywania złośliwej aktywności to ewolucja taktyk cyberprzestępców. Wcześniej do tych celów używano legalnych narzędzi systemowych (LOLBins), ale QEMU oferuje szersze możliwości. Oczekuje się, że liczba takich ataków będzie rosnąć, szczególnie w środowiskach korporacyjnych, gdzie wirtualizacja jest powszechna. Firmy muszą dostosować swoje strategie ochrony, w tym analizę behawioralną i monitorowanie na poziomie hiperwizora.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Czytaj dalej